Software malicioso y no deseado

Google verifica sitios web para determinar si alojan software o archivos ejecutables descargables que puedan afectar negativamente la experiencia del usuario. Se llama "software malicioso o no deseado" a los objetos binarios o las aplicaciones descargables que se ejecutan en un sitio web y afectan a sus visitantes. Si quieres ver una lista de los archivos sospechosos que se alojan en tu sitio, consulta el Informe de problemas de seguridad.

¿Qué es el software malicioso?

Se llama software malicioso a cualquier herramienta de software o aplicación que se diseña específicamente para dañar una computadora, un dispositivo móvil, el software que en ellos se ejecuta o a los usuarios. Su objetivo es llevar a cabo una acción malintencionada, como instalar software dañino (por ejemplo, virus) o programas sin el consentimiento del usuario. En ocasiones, los propietarios de sitios web no reparan en que sus archivos descargables se consideran software malicioso; los objetos binarios podrían alojarse en ellos de manera inadvertida.

• Para obtener más información sobre el proceso que sigue Google para proteger a los usuarios contra descargas maliciosas, consulta la entrada Protecting users from malicious downloads en el blog de Google Online Security.
• Para conocer nuestros criterios sobre software seguro en la Web, consulta nuestra Política de Software No Deseado.

¿Qué es el software no deseado?

Se conoce como "software no deseado" al archivo ejecutable o la aplicación para dispositivos móviles que lleva a cabo un comportamiento engañoso, inesperado o que afecta de manera negativa la navegación o la experiencia informática del usuario. Entre los ejemplos, se incluyen los siguientes: software que cambia tu página principal o cualquier otra configuración del navegador por una no deseada, o bien apps que filtran información personal y privada sin el consentimiento adecuado.

Para obtener más información sobre el proceso que sigue Google para proteger a los usuarios contra software no deseado, consulta la entrada That’s not the download you’re looking for... en el blog de Google Online Security.

Cómo solucionar el problema

Asegúrate de que tu sitio o aplicación siga los lineamientos y, luego, podrás solicitar una revisión en el Informe de problemas de seguridad.

Si tu aplicación para dispositivos móviles muestra advertencias, puedes presentar una apelación.

Lineamientos

Asegúrate de no infringir la Política de Software No Deseado y de seguir los lineamientos que se proporcionan aquí. Si bien la siguiente lista no es exhaustiva, estos comportamientos pueden hacer que las apps y los sitios web muestren advertencias a usuarios cuando los visiten o cuando descarguen archivos. Para ver una lista de los archivos sospechosos que se alojan en tu sitio, consulta el Informe de problemas de seguridad.

No tergiverses tus intenciones

• Informa con precisión a los usuarios sobre el propósito y la intención del software. Los usuarios deben poder descargar el software de manera intencional, con total conocimiento de lo que descargan. El anuncio en el que hagan clic debe ser preciso y debe informar claramente al usuario lo que se descargará. Los anuncios que llevan al usuario a realizar la descarga no deben ser engañosos ni imprecisos como los siguientes:
  • Un anuncio que solo contiene las palabras "Descargar" o "Reproducir", pero que no identifica el software que publicita
  • Un botón para "Reproducir" que genera una descarga
  • Un anuncio que imita el diseño del sitio web del publicador y simula ofrecer contenido (por ejemplo, una película), pero que, en realidad, dirige a software no relacionado
  • Obtén información sobre ingeniería social en nuestro blog de Online Security.
• Compórtate de acuerdo con lo publicado. Asegúrate de que tu programa sea claro sobre su funcionalidad y sus intenciones. Si recopila datos del usuario o muestra anuncios en su navegador, comunica esos comportamientos con un lenguaje claro y no los menciones como funciones insignificantes.
• Indícale al usuario de manera clara y explícita qué cambios realizará tu software en el sistema y en el navegador. Permite que los usuarios revisen y aprueben todos los cambios y las opciones de instalación. La IU principal de tu programa debe divulgar con claridad los componentes de los objetos binarios y su funcionalidad principal. El objeto binario debe ofrecer una manera fácil para que el usuario omita la instalación de paquetes de componentes. Por ejemplo, ocultar estas opciones o usar texto apenas visible no se considera divulgación apropiada.
• Incluye avales solo cuando tengas autorización. No uses logotipos de otras empresas sin autorización para legitimar o avalar un producto. Tampoco utilices logotipos gubernamentales sin el permiso correspondiente.
• No ahuyentes al usuario. El software no debe proporcionar información falsa sobre el estado de la máquina del usuario, por ejemplo, no debe simular que el sistema está en un estado de seguridad crítico o infectado con virus. Con relación al software, no se debe afirmar que brinda un servicio (por ejemplo, "acelera tu PC") que no puede proporcionar o de hecho no proporciona. Por ejemplo, los optimizadores o depuradores de computadoras "gratuitos" no deben anunciarse como tales, a menos que los servicios y componentes anunciados no requieran un pago.

Lineamientos sobre software

• Usa la API de Google Settings si tu programa cambia la configuración de Chrome. Cualquier cambio en la configuración predeterminada de la búsqueda, página de inicio o nueva pestaña del usuario debe realizarse por medio de la API de Chrome Settings Override, lo que requiere el uso de una extensión de Chrome, además de un flujo de instalación de extensiones que cumpla con los requisitos correspondientes.
• Permite diálogos del navegador y del sistema operativo para alertar al usuario según se considere necesario. No suprimas alertas al usuario desde el navegador o sistema operativo, especialmente aquellas que informen sobre cambios en el navegador o SO.
• Te recomendamos que firmes tu código. Si bien el hecho de que los objetos binarios no tengan firma no es una razón para marcarlos como software no deseado, recomendamos que los programas tengan una firma en el código que sea válida, esté verificada y haya sido emitida por una autoridad de firma de códigos que brinde información verificable del publicador.
• No degrades las medidas de seguridad ni de protección provistas por las conexiones TLS/SSL. Las apps no deben instalar certificados raíz/de autoridad certificadora. Tampoco deben interceptar las conexiones SSL/TLS, a menos que estén diseñadas para que los expertos depuren o investiguen software. Si quieres obtener más detalles, consulta esta entrada relacionada del blog de Google Security.
• Protege los datos del usuario. El software, incluidas las apps para dispositivos móviles, solo debe transmitir datos privados del usuario al servidor en la medida en que lo requiera la funcionalidad de la app, y estas transmisiones deben divulgarse al usuario y encriptarse.
• No generes daños. Tu objeto binario debe respetar y no dañar la experiencia de navegación del usuario. Asegúrate de que los objetos binarios descargables cumplan con las siguientes políticas comunes:
  • No dañes la funcionalidad de restablecimiento del navegador. Obtén más información sobre el botón para restablecer la configuración del navegador en Chrome.
  • No saltees ni suprimas los controles de la IU del navegador o del sistema operativo relativos a cambios de configuración. Tu programa debe informar al usuario y permitirle controlar de manera adecuada los cambios que se realizan en la configuración del navegador. Usa la API de Settings para cambiar la configuración de Chrome (consulta esta entrada del blog de Chromium).
  • Usa una extensión para cambiar la funcionalidad de Google Chrome, en lugar de cambiar el comportamiento del navegador con otros medios programáticos. Por ejemplo, tu programa no debe usar bibliotecas vinculadas de forma dinámica (DLL) para mostrar anuncios en el navegador, implementar proxies que intercepten el tráfico, usar un proveedor de servicios por capas para interceptar las acciones del usuario ni agregar la nueva IU como parche al objeto binario de Chrome a fin de insertarla en todas las páginas web.
  • Las descripciones de componentes y del producto no deben ahuyentar al usuario ni contener declaraciones falsas o engañosas. Por ejemplo, tu producto no debe incluir declaraciones falsas que digan que el sistema está en un estado de seguridad crítico o infectado con virus. Los programas como los depuradores de registros no deben mostrar mensajes alarmantes sobre el estado de la computadora o del dispositivo del usuario, ni afirmar que pueden optimizar su PC.
  • Haz que el proceso de desinstalación sea simple, seguro y fácil de encontrar. Tu programa debe proporcionar instrucciones claras para el restablecimiento del navegador o sistema operativo a su configuración anterior. El desinstalador debe quitar todos los componentes y no disuadir al usuario de continuar con el proceso de desinstalación. Por ejemplo, no debe afirmar que la desinstalación podría tener efectos negativos en el sistema o podría comprometer la privacidad del usuario.
• La buena compañía importa. Si tu software se distribuye en paquete con otros componentes de software, es tu responsabilidad asegurarte de que ninguno infrinja las recomendaciones.

Lineamientos para las extensiones de Chrome

• Todas las extensiones deben instalarse en Chrome y divulgarse para que cumplan con las políticas. Deben alojarse en Chrome Web Store, estar desactivadas de forma predeterminada y cumplir con las políticas de Chrome Web Store (incluidas aquellas que tienen un único propósito). Las extensiones que se instalen desde un programa deberán usar el flujo de instalación de extensiones de Chrome autorizado, el cual le solicitará al usuario su habilitación en Chrome. Las extensiones no deben suprimir los diálogos de Chrome que alerten al usuario sobre cambios en la configuración.
  
• Proporciona instrucciones a los usuarios para que puedan quitar una extensión de Chrome. Si un usuario desinstala un programa y también se quitan todos los componentes que se instalaron con él, esto se considera una buena experiencia del usuario. El flujo de desinstalación incluye instrucciones para que el usuario pueda inhabilitar o borrar la extensión por su cuenta.
• Si tu objeto binario instala un complemento o modifica la configuración predeterminada del navegador, debe seguir el flujo de instalación compatible con el navegador y la API. Por ejemplo, si el objeto binario instala una extensión de Chrome, esta debería alojarse en Chrome Web Store y cumplir con las Políticas del Programa para Desarrolladores de Chrome. El objeto se identificará como software malicioso si instala una extensión de Chrome que infrinja la Política de Opciones de Distribución de Extensiones Alternativas de Chrome.
  • Obtén más información sobre instalaciones silenciosas en el blog de Chromium y en nuestro blog de Online Security.
  • Consulta cómo publicar extensiones en Chrome Web Store.

Lineamientos para aplicaciones para dispositivos móviles

• Informa a los usuarios sobre tu intención de recopilar sus datos. Dales la oportunidad de que acepten la recopilación de datos antes de empezar a recopilarlos y enviarlos desde el dispositivo, incluidos los datos sobre cuentas de terceros, correos electrónicos, números de teléfono, apps instaladas y archivos del dispositivo móvil. Asegúrate de tratar cualquier dato personal o sensible del usuario que recopiles de forma segura, incluida la transmisión mediante criptografía moderna (por ejemplo, a través de HTTPS). En el caso de apps que no pertenezcan a Google Play, deberás informarle al usuario que recopilarás datos en la app. Por último, en el caso de apps de Google Play, la divulgación deberá cumplir con la política de la plataforma. No recopiles datos que no se incluyan en el uso publicado de tu app.

• No robes la identidad de otra marca o app. No uses imágenes inapropiadas o no autorizadas ni diseños similares a los de otra marca o app de manera que el usuario pueda confundirse.
• Mantén todo el contenido dentro del contexto de la app. Ninguna app debe interferir con otra ni con la usabilidad del dispositivo. Tampoco debe mostrar anuncios o contenido adicional al usuario que no esté dentro del contexto o la función de la app sin el consentimiento informado del usuario ni la atribución clara de la fuente del anuncio donde aparezca.
• La app debe cumplir con lo que le promete al usuario. Todas las funcionalidades anunciadas deben estar disponibles para el usuario en la app. Si bien puede actualizarse el contenido, no deben descargarse apps adicionales sin el consentimiento informado del usuario.
• Procura que el comportamiento se mantenga transparente. Las apps no deben desinstalar ni reemplazar otras apps o sus accesos directos, a menos que ese sea el propósito establecido. La desinstalación debe ser clara y completa. Las apps no deben imitar solicitudes del SO del dispositivo o de otras apps.

Las apps que se distribuyen en Google Play deben cumplir con las Políticas del Programa para Desarrolladores y el Acuerdo de Distribución para Desarrolladores, que tienen requisitos adicionales.

Si eres usuario de Search Console y tienes problemas de seguridad persistentes o que no se pueden resolver en tu sitio, puedes informarnos al respecto.

Informar un problema de seguridad